El **FBI (Federal Bureau of Investigation)**, la **CISA (Cybersecurity and Infrastructure Security Agency)**, la **NSA (National Security Agency)**, la **EPA (Environmental Protection Agency)**, el **DOE (Department of Energy)** y el **Comando Cibernético de Estados Unidos – Fuerza de Misión Nacional Cibernética (CNMF)** emiten conjuntamente una advertencia urgente sobre la explotación de dispositivos de tecnología operativa (OT) conectados a Internet, específicamente controladores lógicos programables (PLC) de **Rockwell Automation/Allen-Bradley**, en sectores de infraestructura crítica de EE. UU. Esta actividad ha resultado en interrupciones a través de interacciones maliciosas con archivos de proyecto y manipulación de datos en pantallas de interfaz hombre-máquina (HMI) y sistemas de control y adquisición de datos (SCADA). En algunos casos, esto ha provocado interrupciones operativas y pérdidas financieras. ### Sectores Objetivo y Actor de Amenaza Las agencias autoras evalúan que actores APT afiliados a Irán están detrás de estos ataques, con el objetivo de causar efectos disruptivos dentro de Estados Unidos. Los sectores atacados incluyen: * Servicios y Instalaciones Gubernamentales * Sistemas de Agua y Aguas Residuales (WWS) * Energía Anteriormente, actividades similares dirigidas a PLC se atribuyeron a **CyberAv3ngers** (también conocido como Shahid Kaveh Group), un actor de amenazas cibernéticas afiliado al Comando Cibernético Electrónico (CEC) de la Guardia Revolucionaria Islámica (IRGC) de Irán. ### Acciones Recomendadas Se insta a las organizaciones estadounidenses a revisar las tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) proporcionados en el aviso. Las acciones clave incluyen: * Eliminar los PLC de la exposición directa a Internet mediante gateways seguros y firewalls. * Consultar los logs disponibles para los IOC proporcionados. * Verificar los logs en busca de tráfico sospechoso en los puertos de los dispositivos OT (por ejemplo, `44818`, `2222`, `102` y `502`), especialmente de proveedores de hosting en el extranjero. * Para dispositivos Rockwell Automation, colocar el interruptor de modo físico del controlador en la posición de ejecución. ### Indicadores de Compromiso Los IOC están disponibles para su descarga: * [AA26-097A STIX XML](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.xml) (35KB) * [AA26-097A STIX JSON](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.json) (12 KB) ### Guía de Rockwell Automation Las organizaciones que utilizan PLC de Rockwell Automation/Allen-Bradley deben revisar la siguiente guía: * [PN1550 | CVE-2021-22681: Vulnerabilidad de omisión de autenticación encontrada en controladores Logix](https://www.rockwellautomation.com/en-fi/trust-center/security-advisories/advisory.PN1550.html) (publicado en 2021) * [SD1771 | Rockwell Automation reitera la guía al cliente para desconectar dispositivos de Internet y endurecer los PLC para protegerse de amenazas cibernéticas](https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html) (publicado en 2026) Contacte al Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Rockwell Automation en [[email protected]](mailto:[email protected]) para preguntas o para reportar incidentes. ### Contexto Histórico Campañas similares se han observado desde noviembre de 2023, con **CyberAv3ngers**, afiliado al CEC de la IRGC, atacando PLC y HMI basados en EE. UU., causando efectos disruptivos. Estos ataques comprometieron al menos 75 dispositivos, apuntando a dispositivos PLC Unitronics basados en EE. UU. con una HMI utilizada en múltiples sectores de infraestructura crítica, incluidos WWS. Este grupo también es conocido como Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691 y Shahid Kaveh Group.